Publicado:
Leitura 3 minutos
O processamento de informações nas nuvens é o tipo de serviço de processamento de informações prestado por um fornecedor, onde a localização exata dos equipamentos é desconhecida pela organização cliente.
Não sei se todos concordam com a minha definição acima. Mas convenhamos que não é muito fácil definir computação nas nuvens. Mesmo que você não concorde totalmente, acredito que no sentido geral você concorda.
Muito se tem discutido sobre o assunto. E ao falar neste assunto, a questão da segurança é fundamental.
Quando realizamos consultoria temos a oportunidade de tratar com várias organizações e vários tipos de organização. Em função deste fato, cheguei a afirmação do título deste artigo.
Não podemos (e não devemos) penalizar a solução em nuvem por todos os problemas (há algumas semanas o serviço da Amazon parou e centenas de organizações pararam). Mas por outro lado, também não podemos (e não devemos) assumir que a computação em nuvem é a solução de todos os problemas e magicamente resolve todos os problemas. Bem se fosse assim, mandaríamos a Copa 2014 para a nuvem.
Mas, sendo assim, onde está o problema e onde está a solução? Resposta: na própria organização. A organização é sua solução e seu problema. A computação em nuvem é apenas uma forma de implementação da solução definida pela organização.
Em relação à segurança, o maior problema, seja em nuvem seja em terra, é que a organização não assume que ela é responsável pela própria segurança e a organização define o nível de segurança que quer. Colocar o processamento em nuvem não exime a própria organização da sua responsabilidade com a segurança da sua informação. O prestador de serviço vai implementar o que foi exigido no contrato. Já realizei consultoria em organização que não sabia se o prestador de serviço tinha plano de continuidade de negócio e se (caso tivesse) este controle constava no contrato assinado.
Sendo assim, em primeiríssimo lugar, a organização precisa definir o que deseja em segurança da informação: qual a disponibilidade desejada , a rigidez do controle de acesso que deverá ser implantado e o que acontece quando erros e problemas existem.
Qualquer que seja a solução que a organização deseje implantar, em nuvem ou em terra, defina, ou peça ajuda para definir, qual o nível de segurança desejado ou necessário para a organização. Somente assim você estará tomando proveito de soluções em nuvem ou em terra.
Edison Fontes, CISM, CISA
Núcleo Consultoria em Segurança
Estrategista e gestor de Segurança da Informação, Riscos, Continuidade de Negócio, Governança, e Combate a Fraude de Informação.
Login
